abril 21, 2023

Protección de datos empresariales: ChatGPT

¿Qué se puede hacer para proteger los datos empresariales en el mundo de la IA?

Tras la publicación del hilo sobre la seguridad de los datos empresariales y mi breve conclusión sobre qué acciones se podrían tomar para proteger esos datos empresariales ante la explosión de la IA, se me ha ocurrido plantear a ChatGPT la misma cuestión.

Juzguen ustedes:

Artículo de Legisconsulting

Datos empresariales (V): Protección (y aprendizaje)

ChatGPT

Pregunta:

Escríbeme un artículo sobre cómo podría una empresa proteger sus datos empresariales ante la recopilación de datos por parte de una inteligencia artificial de los datos publicados por la empresa, datos publicados por los empleados y relaciones de los empleados entre sí o con terceros en redes sociales. Datos que combinados pueden mostrar a terceros y a la competencia las estrategias de la empresa y posible futuras acciones de la misma. Y con ello complicar su viabilidad. ¿Qué pautas debería implementar la empresa para protegerse?

Respuesta:

La recopilación de datos por parte de la inteligencia artificial es una práctica cada vez más extendida en el mundo empresarial. A través de esta técnica, se pueden recopilar y analizar grandes cantidades de información de diferentes fuentes para obtener conocimientos valiosos que pueden ayudar a las empresas a tomar mejores decisiones comerciales. Sin embargo, también puede ser una amenaza para la privacidad y la seguridad de los datos empresariales.

Cuando se recopilan datos empresariales, se pueden obtener información sobre las estrategias, planes, futuras acciones y otras informaciones confidenciales de la empresa. Estos datos pueden ser combinados con información sobre empleados y relaciones en las redes sociales para mostrar a terceros y a la competencia las estrategias de la empresa y sus posibles futuras acciones, lo que puede complicar su viabilidad.

Por lo tanto, es importante que las empresas tomen medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. A continuación, se presentan algunas pautas que las empresas pueden implementar para protegerse:

  1. Política de privacidad y seguridad de datos: La empresa debe tener una política clara de privacidad y seguridad de datos que establezca las normas para el tratamiento de datos empresariales y personales. Esta política debe ser comunicada a los empleados y a cualquier tercero que tenga acceso a los datos de la empresa.
  2. Control de acceso: La empresa debe implementar medidas para limitar el acceso a los datos empresariales a aquellos empleados que necesitan tener acceso a ellos para realizar sus funciones. Además, se deben establecer medidas de seguridad para controlar el acceso a los datos empresariales desde fuera de la empresa.
  3. Encriptación de datos: La encriptación de los datos empresariales es una medida efectiva para protegerlos contra el acceso no autorizado. Los datos encriptados son inútiles para aquellos que no tienen la clave de descifrado.
  4. Monitorización del tráfico de red: La empresa debe supervisar el tráfico de red para detectar cualquier actividad sospechosa, como la transferencia de grandes cantidades de datos fuera de la red de la empresa.
  5. Sensibilización y formación de empleados: La empresa debe sensibilizar y formar a sus empleados sobre los riesgos asociados a la recopilación de datos y la importancia de proteger los datos empresariales. Los empleados deben ser conscientes de que la información que publican en las redes sociales o en otros lugares en línea puede ser utilizada para recopilar datos sobre la empresa.
  6. Actualización de software y hardware: La empresa debe mantener actualizados sus sistemas de hardware y software para protegerse contra las amenazas de seguridad más recientes.

En conclusión, las empresas deben tomar medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. La implementación de medidas de seguridad adecuadas, junto con la sensibilización y formación de los empleados, puede ayudar a reducir los riesgos y proteger los datos empresariales de la empresa.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Datos empresariales (V): Protección (y aprendizaje)

El objetivo de este hilo es ser consciente de la información valiosa de la empresa y como protegerla. Especialmente ahora y en un futuro en que el desarrollo de la Inteligencia Artificial lucha (en este caso) en contra nuestra.

Somos los buenos defendiendo el fuerte. Y aunque no tenemos garantía alguna de victoria porque “Dios ayuda a los malos cuando son más que los buenos”, seremos Blas de Lezo en la defensa de la Cartagena de Indias que es nuestra empresa. Y de acuerdo con Sun Tzu, la mejor estrategia es la más simple y la mejor enfocada, ya que las estrategias demasiado complejas pueden confundir a los miembros del propio ejército comprometiendo sus posibilidades de victoria.

Ya todos estamos acostumbrados a la gestión de datos personales según la LOPDGDD, pero, ¿y si extrapolamos los mecanismos que ya usamos con fluidez a la protección de datos empresariales?. Existen pautas y mecanismos para protegerlos.

Así, de una forma muy general, podríamos establecer los siguientes pasos/pautas:

1.- Análisis previo.-

−  Categorización de los Datos

−  Estudio de los contratos con terceros (Google, Amazon, Fb… )

−  Limitación en contratos con proveedores y clientes

−  Designar un responsable de tratamiento de Datos Empresariales

2.- Control pasivo de los Datos.-

2.1.- Obviamente la ciberseguridad. El uso de medios de prevención de jaqueos, intrusiones o filtraciones que pueden generar daños:

−  Siniestros en la red

−  Brechas de seguridad y privacidad

−  Suplantaciones

−  Ciber extorsión

−  Daños reputacionales,

2.2.- Pero también filtraciones indirectas (Fb, Linkedin -de empresa y de sobre todo de empleados-, Whatsapp y/o Telegram (grupos de empresa y empleados).

2.3.- O incluso filtraciones directas ‘involuntarias’: las redes, contactos y/o mensajes de los propietarios, directivos o empleados pueden revelar una increíble cantidad de datos que, como hemos dicho, de forma aislada no significan nada pero que en su conjunto, cruzados, estudiados y evaluados, pueden revelar informaciones valiosísimas.

3.- Control de datos liberados.-

Suena a película de espías y algo hay de ello, pero liberar datos ‘controlados’ puede suponer una interesante arma empresarial.

4.- Protección activa.-

−  Planteamiento desde el diseño, tanto del conjunto y filosofía de la empresa como de cada una de las acciones a adoptar en cualquier ámbito dentro de la misma.

−  Planificación y diseño de las acciones a tomar con la perspectiva de protección de datos empresariales.

−  Establecimiento de mecanismos y protocolos.

−  Análisis de Riesgos.

− Inclusión de los empleados, clientes y proveedores en el plan (cláusulas de confidencialidad, seguimiento de contactos, educación a empleados para prevención de posibles filtraciones en redes, control de los medios de la empresa, etc). Y a modo de nota, recordemos que controlar el teléfono y el ordenador de la empresa, aunque sea de uso privado de un empleado, es legal.

Además, ese análisis de los datos de nuestra propia empresa (nuestra ‘ramita’ de nuestro árbol), también ayudarán a conocer el funcionamiento de las ‘ramitas’ de alrededor. Y aunque normalmente nunca podremos ver el bosque completo, reconocer el árbol en que está nuestra ‘ramita’, su estructura, su ‘orientación’ y su movimiento con el viento nos podría proporcionar una ventaja competitiva.

Y en el plano operativo, tal recopilación de datos llevará sin duda a conocer sin demasiado esfuerzo los proveedores, los clientes (tipo o incluso individualizados), las estrategias, los proyectos, los objetivos, el rango de tarifas/precios, el sector de mercado, las vulnerabilidades, etc. Es decir, hacia donde sopla el aire (o tendencias del mercado, dicho de otra forma).

En conclusión, debemos controlar sobremanera los datos liberados de la empresa, porque al contrario del caso de los Datos Personales, esa recopilación de los datos empresariales con el fin de obtener un beneficio económico −en su mayor parte− ES LEGAL.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 16, 2022

Datos empresariales (IV): datos expuestos

Aunque no sea consciente, hay una gran cantidad de datos de la empresa que son públicos.

Datos Online

La recopilación de Datos Personales dispersos en Internet es algo que se lleva haciendo años. Hay empresas en países con legislación de protección de datos más laxas que mantienen bases de datos masivas de individuos perfectamente individualizados e identificados con fines políticos, comerciales, médicos (los datos más valiosos del mercado), etc. Probablemente usted como lector y yo como redactor estamos en alguna (o muchas) de esas bases de datos.

Si de una persona se pueden reunir datos para confeccionar un expediente detallado a través de sus contactos en Linkedin, las fotos de sus vacaciones publicadas en Facebook o el reloj que le cuenta las pulsaciones y le marca el track cuando sale a correr, imagínese lo que se podría averiguar con los datos en Internet de cualquier empresa.

Seguir la redes sociales de la empresa aporta una visión muy limitada, pero si a eso se suman las redes sociales de sus empleados, las de sus proveedores o clientes. Sus contactos, relaciones, mensajes y/o publicaciones, la imagen se convierte en algo más claro y desvela de forma indirecta datos de la empresa que nunca sospecharíamos.

Servicios para la Empresa

¿Qué empresa no tiene un servidor externo y servicio de Backup donde guarda toda su documentación?. En principio son servidores seguros pero, ¿han leído detenidamente el contrato de servicio?.

Es posible que los datos no se vendan a terceros (tal vez), pero ¿están seguros de que Amazon, Google o quien sea no va a utilizar esos datos en beneficio propio de otra forma?.  Ya hemos visto en casos como Facebook o Google usan los datos personales que les confiamos (aparentemente datos sin valor) para su propio beneficio convirtiéndolos en la base de su negocio. Pero, ¿qué nos hace suponer que no lo harán con datos empresariales que son potencialmente mucho más valiosos?.

Y es posible que los datos de una sola empresa puedan parecer poco valiosos. Pero los datos de muchas empresas (metadatos) sí lo son. Cada dato forma parte de un árbol de ramas infinitas que sólo tiene sentido en su conjunto. Y que visto en su conjunto proporciona otras informaciones aparentemente inconexas (metadatos otra vez) muy valiosas.

El Internet de las cosas: hacia una empresa conectada

El Internet de las cosas es un concepto nacido en 1999 en el MIT que se refiere a la interconexión digital de objetos cotidianos a través de Internet.

Para negocios de todo tipo: de la ganadería a la industria, los servicios o la consultoría,   supone una oportunidad de rebajar costes, de hacer más eficiente el trabajo, de generar nuevos productos o servicios con la potencialidad de todo ello de incrementar ingresos. Pero estar conectado supone el riesgo de la conexión. El riesgo de los servidores utilizados y el riesgo de los datos que se exponen: datos que variarán en función de los dispositivos, maquinaria o hasta las cabezas de ganado a que se apliquen.  Porque todo son datos.

Aún sin entrar en aplicaciones de IA (Inteligencia Artificial) que sería ya más complejo y con otras implicaciones legales y posibilidades, podemos afirmar:

  • por un lado, que el simple rastreo de todos los datos de la empresa en Internet y el cruce de los mismos dibuja una radiografía exacta de la empresa: desde la situación financiera actual a proyectos, futuro, viabilidad, etc.
  • Y por otro, que como se ha visto en esta serie anteriormente, no existen garantías reales del uso que el prestador del servicio que contratamos (o usamos) vaya a hacer de la información obtenida.

La información, per se, tiene un valor económico directo. Pero la información supone además control del mercado y, sobre todo, la información supone poder.

¿Y podemos proteger de forma absoluta la información de la empresa?. La respuesta es que no de forma absoluta. Pero, como se verá en la próxima entrega de este hilo, sí podemos aislar nuestra pequeña ‘ramita’ por nuestra seguridad… Y hasta aprender a observar tras el análisis de nuestra ‘ramita’ las ‘ramitas’ de alrededor.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 14, 2022

Datos empresariales (III): vulnerabilidad de los Datos

Todo negocio maneja datos sensibles que marcan la viabilidad del mismo.

Podemos estar hablando de empresas de proyectos innovadores que, aunque no lo parezcan, son públicos a poco que crucemos suficientes datos y a suficientes personas.

Pero también podemos estar hablando de empresas o negocios que tiene una ventaja competitiva simplemente por haber encontrado un proveedor mejor o haber implementado mecanismos internos más eficientes. Esos datos que no parecen tan ‘espectaculares’, si se liberan -y lo harán si alguien se toma el suficiente interés porque son igual de ‘públicos’- acabarán con esa ventaja competitiva haciéndola accesible al local de al lado.

Piense qué datos concretos de su empresa supondrían un problema caso de ser conocidos por su competencia, por sus clientes o por terceros. Por si no se le ocurren muchos, a continuación enumero una lista que no pretende ser en modo alguno cerrada: 

  • Know-how.
  • Datos de clientes.
  • Datos de proveedores.
  • Datos de productos.
  • Datos de empleados (piense en el desarrollador del nuevo proyecto con su perfil en Linkedin y sus contactos).
  • Contabilidad.
  • Facturación.
  • Tarifas.
  • etc.

Pero pensará al mismo tiempo que esos datos no son públicos. El problema es que, como se mostrará en este ‘hilo’, si alguien se toma el suficiente interés y lo sabe cómo hacerlo, sí pueden serlo.

¿De verdad quiere público para esos datos?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 7, 2022

Datos empresariales II: Vulnerabilidad (legal) de los datos empresariales

De forma previa a las sus consecuencias, riesgos y posibilidades, veremos el distinto nivel de protección que la ley da a un tipo de datos frente a otros.

El Derecho ‘absoluto’ de los datos personales

A pesar de que ya sabemos que ningún Derecho tiene carácter ‘absoluto’, en el campo de los Datos Personales, como Derecho Fundamental que es, la formulación se acerca bastante a ese grado ‘absoluto’ (si obviamos el cajón de sastre del “Interés Legítimo”, por supuesto).

Sin entrar el elevadísimo grado de protección que tienen, no podemos sino empezar por ver qué son los datos personales:

Artículo 4 RGPD. Definiciones. A efectos del presente Reglamento se entenderá por: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho ‘condicional’ de los datos empresariales

En el caso de los Datos Empresariales, por supuesto tenemos toda la protección legal de la propiedad industrial e intelectual, pero llena de lagunas en una normativa muy dispersa y en buena parte no adecuada a la realidad actual.

De forma específica y general sólo existe la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Que brinda una protección limitada (no todos los datos) y condicionada (y no en todos los casos):

Qué son “Secretos empresariales”:

Artículo 1. Objeto. 1. El objeto de la presente ley es la protección de los secretos empresariales.

A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y cuándo se produce una ‘violación’

Artículo 3. Violación de secretos empresariales.

1. La obtención de secretos empresariales sin consentimiento de su titular se considera ilícita cuando se lleve a cabo mediante:

a) El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir; y

b) Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.

Y además, los datos empresariales obtenidos legalmente se pueden almacenar, tratar y utilizar prácticamente sin límite.  Como se ve, los datos empresariales con legalmente más vulnerables que los datos personales.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 7, 2019

Bloqueo de cuenta Paypal o en el Banco

Filed under: bancos,Comercio Electrónico,Medios de pago — Etiquetas: , , — legisconsulting @ 12:36

Es cada vez más frecuente el bloqueo de cuentas y su contenido por bancos o Servicios de Pago como PAYPAL. Y en su mayor parte se trata de meros errores burocráticos

Porqué se bloquean las cuentas

La Ley de prevención del Blanqueo de Capitales y Financiación del Terrorismo establece una serie de obligaciones para muchas personas (de bancos a inmobiliarias o abogados entre muchas otras) que en su mayor parte no están ni tasadas ni detalladas.

Así, la ley obliga a los bancos o a Paypal a

  • La identificación formal de la persona con la que tratan
  • A la identificación del titular real (y no sólo al nominal)
  • Conocer la naturaleza de los negocios o movimientos de dinero
  • A un seguimiento y escrutinio continuo de la actividad de la persona que se trate
  • Y -aquí viene lo difícil- a la aplicación de medidas de diligencia debida.

Y si tienen la más mínima sospecha, indicio o duda sobre cualquier de operación, tienen obligación de:

  • notificarla al SEPBLAC,
  • suspender la operación o restringir el uso (transferencia o uso de cuentas, por ejemplo)
  • y la prohibición expresa de notificar al interesado que se ha producido tal notificación al SEPBLAC.

Traducido a un lenguaje llano, sin detallar como deben hacerlo, la ley obliga a estas entidades a conocer y entender todos los detalles de las relaciones comerciales o de negocios de sus clientes.

De ahí que los bancos o entidades de pago (PAYPAL o similares) soliciten en cualquier momento o incluso de forma reiterada documentación concreta y específica.

Y si no se les da una explicación que ellos entiendan como ‘convincente‘ incluso lleguen a bloquear cuentas u operaciones concretas caso de la operación pudiera llegar a generar dudas de que se trate de una operación de blanqueo o algo peor.

Como se ve, la norma es poco concreta en cuanto al detalle de cómo cumplir las obligaciones a que vienen obligados bancos o entidades de servicios de pago como PAYPAL(*). Y aún cuando existe una extensa normativa sobre los deberes de transparencia de operaciones financieras y de protección de la clientela, no hay una norma específica que proteja a los usuarios de estos servicios de las posibles sospechas que se tengan sobre ellos, así que habrá que acudir a otra normativa más general.

El primer paso es acudir a la entidad de que se trate solicitando explicaciones y ofreciendo cuanta documentación, justificantes o escritos explicativos entendamos como necesarios para justificar las operaciones.  Ello se puede hacer bien en la propia sucursal si se trata de un banco o una entidad aseguradora o a través de los servicios de atención al cliente que estas entidades (incluido PAYPAL) tienen la obligación de poner al servicio de sus clientes. Pero siembre por escrito y dejando constancia de la documentación que se aporta.

La entidad es cierto que tiene prohibido notificar al usuario que ha elevado una notificación al SEPBLAC, pero sí tiene la obligación de exigir al usuario cuanta documentación estime pertinente. Si no lo ha hecho estará incumpliendo sus obligaciones.

Si a pesar de las explicaciones la cuenta u operación continúa bloqueada podremos suponer que se ha dado traslado de las sospechas al SEPBLAC y, en su caso, los fondos se han ingresado en la cuenta de este organismo que, caso de estimar las sospechas de infracción, las elevará al organismo judicial o administrativo que corresponda y que será quien resuelva.

En ningún caso el SEPBLAC prohíbe o autoriza la operativa de un cliente concreto. Lo hacen los obligados por la Ley de Blanqueo como bancos, PAYPAL o entidades aseguradoras. Y es  estos a quienes hay que convencer por todos los medios de que no se trata  de operaciones de blanqueo de capitales ni de financiación del terrorismo.

(*) Aunque PAYPAL es un banco, en su mayor parte actúa como prestador de servicios de pago

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 31, 2019

Obligaciones ante Hacienda y Seguridad Social en nuevos negocios

Filed under: Emprender — Etiquetas: , , , , — legisconsulting @ 12:17

Las nuevas formas de negocio,—o como se percibe de forma más coloquial,  las nuevas formas de conseguir ingresos—, han generado numerosas preguntas sobre si hay obligación de darse de alta en la Seguridad Social, declarar IRPF, factura IVA, etc  … y muchos bulos.

Mentiras

  • No se supera el límite del SMI, así que no hay obligación del alta en Seguridad Social.
  • Gano menos de 3.000,00€
  • Si no es la actividad principal, no es necesario el alta en RETA: «mi trabajo es otro y hago esto algunas tardes».
  • Las extensiones de los juegos que hago las vende una plataforma alemana o mi música una plataforma de California que no me pide factura (aunque si las vende la plataforma o la persona ya es otra historia) .
  • (Re)vender por Wallapop no es una actividad.
  • No me piden factura.
  • Me pagan por PAYPAL

Seguridad Social

Uno. A los efectos de este régimen especial, se entenderá como trabajador por cuenta propia o autónomo aquel que realiza de forma habitual, personal y directa una actividad económica a título lucrativo sin sujeción por ella a contrato de trabajo y aunque utilice el servicio remunerado de otras personas.

Verdades

  • –        Tendrá la obligación de declara a Hacienda todo el que perciba cualquier ingreso independientemente de la cuantía.
  • –        Tendrá la obligación de repercutir el IVA todo el que preste un servicio o venda algo sujeto al impuesto y no exento.
  • –        Tendrá la obligación de cotizar a la Seguridad Social todo aquel que :
    • Realice una actividad de forma habitual,
    • de forma personal,
    • de forma directa,
    • a título lucrativo,
    • aunque use el servicio de terceros.

En cuanto a Seguridad Social, como se ve, la norma no fija límites ni de tiempo empleado ni de ingresos percibidos, aunque sí establece un requisito muy subjetivo que ha tenido que ser delimitado por los tribunales: la habitualidad.

Aunque recientemente han corrido los bulos  que mencionábamos con más insistencia, lo cierto es que la delimitación de esa Habitualidad viene siendo detallada nada menos que des una sentencia del 29 de octubre de 1997.

Y a esta siguieron otras (STS 21-12-1987 y 2-12-1988, entre otras) que señalan que tal requisito hace referencia a una práctica de la actividad profesional desarrollada no esporádicamente sino con una cierta frecuencia o continuidad.

Así, el trabajadores que de forma habitual, personal y directa, realizan una actividad económica a título lucrativo, sin sujeción a contrato de trabajo. Se presumirá, salvo prueba en contrario, que es un trabajador por cuenta propia o autónomo

Pero como la posibilidad de probar el tiempo que se dedica a una actividad es difícil, los tribunales han optado por tomar de forma complementaria el nivel de ingresos (inferior al Salario Mínimo) de la actividad. Nivel de ingresos que sólo será tomado como referencia si no hay otros indicios que puedan determinar la habitualidad o no de la actividad ales como el tipo de actividad, la reiteración en las percepciones económicas, etc.

En conclusión, si se desempeña una actividad habitualmente (desde dar clase de inglés dos tardes por semana  a vender extensiones de juego en Alemania), se está obligado a cumplir con la Seguridad Social independientemente del nivel de ingresos. Y si por el contrario se trata de un único o varios trabajos esporádicos, pues no.

Deberes

Con Hacienda:

  • –        Alta en IAE (tranquilos, es grátis)
  • –        Obligación en su caso de repercutir el IVA al comprador.
  • –        Declaraciones trimestrales de IVA en su caso
  • –        Declaración de TODOS los ingresos en IRPF independientemente  de su cuantía

Con la Seguridad Social

  • –        Si es una actividad ‘habitual‘ alta en RETA. Y si no lo es, pues no … y rogar porque la administración de la Seguridad Social también considere que no lo es.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 10, 2019

Qué es un servicio -exclusivo- de Internet

Filed under: Comercio Electrónico,Emprender — Etiquetas: , , — legisconsulting @ 10:17

Determinar si un servicio es exclusivamente un Servicio de la Sociedad de la Información o algo más, determinará su normativa aplicable, las obligaciones a que está sometido y su régimen de sanciones. Mucho más que una mera disquisición jurídica.

Hace algo más de una semana, el Abogado General presentó sus conclusiones en un caso abierto ante el tribunal que implica a AIRBNB en Irlanda denunciada por una asociación francesa, pero que igual se pueden aplicar a una plataforma de venta de zapatos en El Escorial.

La argumentación -salvo matices- no es nueva, pero sí lo suficientemente clarificadora.

Resumiéndolo mucho, la cuestión en el caso concreto es si AIRBNB es sólo una plataforma de Internet o es algo más y se le deben aplicar las exigencias que recaen sobre las agencias inmobiliarias.

Conclusiones

A la cuestión planteada, el Abogado General plantea las siguientes conclusiones:

Sobre el servicio: Si el prestador del servicio no ejerce control algunos obre las modalidades esenciales de las prestaciones, constituye un servicio de la sociedad de la información.

Sobre las prestaciones accesorias: Y no impedirán esta calificación el hecho de que se ofrezcan prestaciones o servicios accesorios si estas prestaciones accesorias sean indivisibles y conformen un todo indisociable con esos servicios.

Sobre la normativa aplicable: Solo se podrán exigir requisitos adicionales en aplicación de normativas de terceros países (Francia en este caso)  para proteger los derechos de los consumidores.

Sobre donde se presta el servicio: Sólo se podrán establecer requisitos y exigencias adicionales al Servicio de la Sociedad de la Información en terceros países (Francia en este caso):

  • si se ha tratado caso por caso y no de forma general.
  • previo requerimiento al país de origen (Irlanda en este caso) que adopte medidas específicas en materia de servicios de la sociedad de la Información.
  • Y previa notificación a la Comisión Europea.

En conclusión, la asunción de un servicio exclusivamente como de la Sociedad de la Información permite al emprendedor prestador del servicio tener perfectamente cuáles son sus obligaciones y responsabilidades, no ya solo en su país de residencia, sino en tota la Unión Europea.

Nota de prensa TJUE

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 28, 2019

Warning!: Brexit y Protección de Datos.

Brexit is eventually a disaster for everyone(*).

Llevo semanas no queriendo escribir este post con la ilusa esperanza de que el Brexit no se materializaría, pero después de las votaciones de ayer, la conclusión parece clara: el hijo británico es firme en su decisión de emanciparse de la casa comunitaria (UE) después de 45 años. Pero el hijo ‘emancipando’ exige poder seguir yendo a comer, a que le hagan la colada y a que le planchen la ropa; Y mamá UE está en firme desacuerdo.

Así que todo parece indicar que habrá riña doméstica en forma de Brexit duro. Y la riña del Brexit duro nos obligará a hacer cambios a todos los que usamos un ordenador para una actividad no estrictamente personal y privada.

Cualquier negocio o profesional, de cualquier tamaño, que mantenga una página Web o use cualquier servicio online (almacenamiento, copias de seguridad, etc) debe hacer ya algunas comprobaciones con el fin de evitar posibles multas.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Explicación

Un Brexit duro significa que Reino Unido pasa a ser automáticamente un tercer estado completamente ajeno a la normativa y al nivel de protección que  la normativa de la Unión otorga .

Ni Reino Unido ni sus empresas estarían en un primer momento dentro del marco del ‘decisiones de adecuación’ para la transferencia de datos personales a terceros países como el Privacyshield.

Aunque no os demos cuenta, hay numerosos servicios online que usamos a diario y que transmiten o almacenan datos en servidores de terceros países, tales como por ejemplo:

  • Sistemas de almacenamiento online del tipo Google Drive; Onedrive; Dropbox; Icloud; Mega, etc.
  • Sistemas de copias de seguridad o de respaldo.
  • Hosting .
  • Bases de datos.
  • Cookies.
  • Servicios de chat.
  • Análisis web.
  • Servicio al cliente.
  • Etc.

Warning!

  1. Compruebe todos los servicios que tiene contratados, porque es bastante frecuente que el titular de dichos servicios ni siquiera sepa que los tiene contratados. Por ejemplo las cookies que carga en su Web.
  2. Compruebe donde se encuentran los servidores de todos los servicios que tiene contratados.
  3. Y si algún servidor o Encargado del tratamiento se encuentra en Reino Unido, vaya buscando ya una alternativa legal.

No sabemos lo que falta, pero ello le evitará posibles multas.

.

(*)Lamentablemente ‘eventually‘ no significa lo mismo que ‘eventualmente

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »